Una vulnerabilità zero-day che esiste in Adobe Flash Player 11.1.102.55 e versioni precedenti per Windows è attualmente sfruttata dai criminali informatici con metodi ingegneria sociale che spinge gli utenti a fare clic sui link maligni inviati via email. In risposta alla falla che colpisce a quanto pare i clienti solo su Internet Explorer, Adobe ha rilasciato Flash Player 11.1.102.62. La zero-day è in realtà una cross-site scripting (XSS) che può essere utilizzato per eseguire azioni per conto di un utente su qualsiasi sito. Questo attacco ha successo solo se la vittima potenziale potrà essere indotta a cliccare sul link progettato in modo intelligente, ma come dimostra la pratica, questo non è un compito difficile per la maggior parte dei criminali cibernetici.
Oltre al problema XSS, sei altre vulnerabilità sono state identificate non solo per i clienti interessati ad Adobe Flash Player 11.1.102.55 e versioni precedenti per Windows, Mac, Solaris e Linux, ma anche alcuni utenti Android. Adobe Flash Player 11.1.112.61 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.5 e versioni precedenti per Android 3.xe 2.x sono stati nominati come contenente i punti deboli. Gli altri difetti includono ad esempio una vulnerabilità di corruzione della memoria, una confusion memory corruption, una corruzione della memoria MP4 parsing, e un paio di difetti bypass di sicurezza. Esiste anche un'altra vulnerabilità di corruzione della memoria che interessa solo Windows ActiveX.
Tutti questi problemi di sicurezza potrebbero consentire a un utente malintenzionato di eseguire un pezzo di codice arbitrario. Tra le persone fisiche e giuridiche che hanno contribuito a riportare le vulnerabilità troviamo Xu Liu di Fortinet FortiGuard, Bo Qu di Palo Alto Networks, Alexander Gavrun attraverso la Zero Day Initiative di TippingPoint, Eduardo Vela Nava del Google Security Team, e Google. Gli utenti di Adobe Flash Player sono invitati ad aggiornare immediatamente l'ultima variante per assicurarsi che siano protetti contro le operazioni maligne. L’update di Adobe Flash Player è stato integrato direttamente nell'ultima versione di Chrome 17.0.963.56. Adobe Flash Player 11.1.102.62 è disponibile qui. Flash Player 11 per Android è scaricabile o aggiornabile direttamente dall’Android Market.
Nessun commento:
Posta un commento